Consejos HC

¿Cómo debes actuar para proteger tus datos ante un ciberataque como el que sufrió la DGT?

No es la primera ver que un organismo encargado de todo lo relacionado con el tráfico y la circulación recibe un cibertaque en algún país del mundo. Pero el experimentado por la DGT puede haber sido uno de los más graves ocurridos en Europa y, por supuesto, en España. ¿Qué medidas de protección deberías tomar?

Imagen que representa un ciberataque a la Dirección General de Tráfico
Imagen generada por la IA de Bing

Tal y como nos informaban hace una semana los expertos del Área Técnica de EUROCYBCAR, la Dirección General de Tráfico podría haber sufrido un ciberataque que habría derivado en una filtración masiva de datos, viéndose afectados 34 millones de conductores de nuestro país.

A falta de que se conozcan más detalles y de conocer qué tipo de riesgos puede suponer, hemos querido preguntar qué medidas deberían tomarse, tanto por parte de la propia DGT como de los afectados -los conductores-. Desde EUROCYBCAR nos proponen una serie de consejos que tienen algo en común: Resultan muy sencillos de implementar y pueden suponer una forma eficaz de protección en caso de que los datos filtrados terminasen en malas manos.

El primer lugar, teniendo en cuenta que la noticia es de dominio público, desde la DGT deberían mantener una comunicación constante con la ciudadanía, para en primer lugar contar de primera mano -con lo cual se evitarían especulaciones- lo que ha sucedido. Y, por supuesto, dar una serie de recomendaciones a los posibles afectados, que podrían ser muchos millones de personas.

Sin embargo, varios días después de haberse producido los hechos, ni en la web oficial ni en las redes sociales de este organismo se ha lanzado ningún tipo de mensaje o comunicación. Algo curioso, ya que la ocultación de un posible incidente de fuga de información de carácter personal puede ser motivo de sanción, por parte de la Agencia Española de Protección de Datos.

Lo siguiente que debería hacer la DGT es determinar qué cantidad de información ha podido ser filtrada o sustraída, así como el tipo de datos concretos. También es necesario que se lleguen a conclusiones como saber si la filtración ha sido por un fallo técnico o si tiene un origen en ‘el factor humano’. Además de la propia auditoría interna, la DGT -o el Ministerio del Interior del que depende- tendrá que determinar qué alcance podría tener la publicación de la información que haya sido filtrada.

Por otro lado, como también recuerdan desde INCIBE, es necesario “recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación, así como en otros medios de Internet sobre el incidente”.

Como es lógico, en un intento de que la filtración no pueda ir a más, una forma de minimizar la brecha de seguridad -y que no se ‘escapen’ más datos- es desconectar un servicio o sistema de Internet. Es posible que eso genere algún tipo de trastorno, ya sea de cara al personal interno que trabaja en la DGT -y que puede verse afectado por un corte en un determinado sistema o dispositivo-, o también de puertas afuera, hacia los usuarios que, por ejemplo, acceden a la web o a una app que ofrezca el organismo afectado por el ciberataque. Hasta el momento, lo cierto es que la página principal de este organismo no ha interrumpido su servicio en ningún momento.

¿Cómo saber si, fruto de esa filtración de datos, alguien los está utilizando? Las pistas son sencillas. Puede comenzar por algo tan sencillo como que empiezas a recibir más llamadas, mensajes al mail e, incluso, WhatsApp para ofrecerte ‘el trabajo de tu vida’ o alguna oferta difícil de rechazar. Esto ocurre porque, en ocasiones, los ciberdelincuentes intentan colocar los datos que han sustraídos para venderlos al mejor postor… pero puede que nadie adquiera los paquete filtrados. En ese caso, simplemente por perjudicar a la víctima del robo, puede que simplemente se dejen en abierto y cualquiera pueda descargárselos.

En caso de tener constancia de que hay datos personales que están en juego y se han hecho público, lo que hay que hacer es denunciarlo ante las autoridades. En este caso, se puede recurrir tanto al Grupo de Delitos Telemáticos de la Guardia Civil o bien ante la Policía Nacional y la Sección Central de Delitos en Tecnologías de la Información de la Ertzaintza. El hecho de contar con esa denuncia presentada no significa que vayas a conseguir una victoria si se descubre al autor o autores de la filtración.

Pero con una denuncia interpuesta no tendrás que pagar los hechos delictivos que pudieran derivarse del hecho de que alguien se haya hecho pasar por ti -aunque es probable que te veas inmerso en alguna causa judicial-. Algo que puede pasar si un delincuente ha tenido acceso a tu nombre, apellidos, dirección e, incluso, a tu número de DNI -con estos datos sería suficiente para llevar a cabo lo que se denomina una ‘suplantación de identidad’-.

Por otro lado, aunque es difícil saber con exactitud cuáles han sido los datos que se han filtrado en caso de un ciberataque masivo, hay una serie de precauciones que deberías tomar. Por ejemplo, entre las más básicas es que actualices todas las contraseñas que utilices habitualmente para, por ejemplo, acceder a tus cuentas de correo electrónico, a tus redes sociales… y, por supuesto, las que empleas para realizar compras en tiendas de comercio electrónico o para realizar operaciones en banca online.

Si existe la posibilidad de que hayan quedado al descubierto algunos de tus datos bancarios, la lógica dicta que compruebes de manera habitual los movimientos y saldos que tengas en tu cuenta corriente. Algo que, a día de hoy, se puede realizar de forma sencilla desde la app de tu entidad bancaria.

Algo que ya pasaba antes… y que ahora se puede multiplicar: El Phishing

En más de una ocasión hemos hablado de un intento de fraude cada vez más extendido mediante el cual un ciberdelincuente trata de hacerse pasar por otra persona, empresa u organismo para engañarte y así obtener información y, posteriormente, robar tu dinero. Es lo que en el mundo de la ciberseguridad se conoce como phishing o suplantación de identidad. Para que resulte lo más creíble posible, los piratas informáticos bombardean a millones de personas con alguna ‘excusa’ que pueda ser creíble, en el sentido de que realmente te pueda afectar.

Puede ser algo relacionado con la entrega de un paquete de algo que has comprado en un tienda de comercio online. Quizá tiene que ver con una información relacionada con una devolución de dinero en plena campaña de la Renta. O, por qué no, también es posible que te la quieran ‘colar’ diciéndote que tienes una multa de tráfico pendiente o alguna otra gestión similar. Y, precisamente, para hacerte caer en su trampa, te llegará algún tipo de mail que, con una cuidada apariencia que imita la imagen corporativa de la DGT, te urge a que accedas a un enlace para dejar tus datos, incluidos los bancarios.

Hasta ahora, ya eran muchos los que se veían tentados de hacer caso al correo y unos cuantos los que accedían al link y seguían los pasos. Y todo ello, como decimos, haciendo un envío masivo con técnicas de ‘pesca de arrastre’, donde se lanza una campaña contra cientos de miles con el simple objetivo de que unos pocos muerdan el anzuelo -lo cual ya sería considerado un éxito por los delincuentes- Sin embargo, a partir de ahora habrá que extremas las precauciones.

Y es que con toda esa información filtrada, es posible que el siguiente mail o mensaje malicioso que te llegue de alguien haciéndose pasar por la DGT, ya incluya tu nombre, tu dirección… es decir, una serie de datos que te harán creer que, en efecto, están contactando contigo desde la Dirección General de Tráfico, que es algo serio y que tienes que resolver la gestión pendiente -en este caso, el pago de una multa- lo antes posible. Si lo haces y facilitas, por ejemplo, tus datos de la tarjeta bancaria… estarás perdido.

No solo eso: Con la información robada, basta con que los delincuentes pongan una campaña en marcha utilizando tus datos, también los de tus contactos del mail, para enviar correos o mensajes que, supuestamente, han sido enviados por ti, pero que seguramente se trate de nuevos intentos de phishing para hacerse con sus datos.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.